LA NORMA ISO 16363 E I REQUISITI - procedamus.it · La conservazione dell’informazione in formato...

LA NORMA ISO 16363 E I REQUISITI

DI AUTENTICITA’ DEI DEPOSITI

DIGITALI

Matteo Savoldi – Archivista

Milano, 4 ottobre 2018

LE RIFLESSIONI DELLA

COMUNITA’ SCIENTIFICA

LE RIFLESSIONI DELLA COMUNITA’

SCIENTIFICA

Gli anni ’90

La comunità scientifica si interroga su:

Modello di riferimento per la conservazione

del digitale

Presenza «custodi fidati»


SCIENTIFICAMODELLO DI RIFERIMENTO

2002 CCSDS (Consultative Committee for Space Data

System) elabora un modello concettuale in grado di

fornire un i concetti fondamentali alla base della

conservazione digitale: OAIS (Open Archival Information

System)

2005 Standard ISO 14721

2012 aggiornamento

2014 aggiornamento

IL MODELLO OAIS (ISO 14721)

ORIZZONTE

«L’obiettivo del presente documento è la definizione del modello di riferimento ISO per un Sistema informativo aperto per l’archiviazione (OAIS).

Un OAIS è un Archivio, inteso come struttura organizzata di persone e sistemi, che accetti la responsabilità di conservare informazioni e renderle disponibili per una Comunità di riferimento»

LA MOTIVAZIONE

«La straordinaria crescita delle capacità di calcolo, della connettività di rete e della larghezza di banda a disposizione ha condotto ad una moltiplicazione delle organizzazioni che rendono disponibili informazioni digitali. Le operazioni fra tutti i tipi di organizzazione si svolgono usando forme digitali che progressivamente rimpiazzano i supporti più tradizionali come la carta.

La conservazione dell’informazione in formato digitale è molto più difficoltosa della conservazione dell’informazione su supporto cartaceo o su pellicola. Questo è un problema non solo per gli archivi tradizionali, ma anche per molte organizzazioni che non hanno mai avuto la consapevolezza di svolgere una funzione archivistica. Ci si aspetta che il presente modello di riferimento, fissando i requisiti minimi di un archivio OAIS e un insieme di concetti archivistici, fornisca una cornice comune all’interno della quale inquadrare le sfide archivistiche, in particolare quelle correlate all’informazione digitale»


IL MODELLO DI RIFERIMENTO FORNISCE

• un quadro per la comprensione e per una maggiore consapevolezza dei concetti archivistici necessari per la conservazione e l’accesso a lungo termine alle informazioni digitali;

• un quadro, completo di concetti e terminologia, per la descrizione e il confronto di architetture e procedure degli archivi presenti e futuri;

• amplia il consenso sugli elementi e sui processi correlati alla conservazione e all’accesso a lungo termine alle informazioni digitali, e promuove l’ampliamento di un mercato che le imprese possano sostenere


IL CONTESTO

L’OGGETTO

INFORMATIVO

(information object)


LE INTERAZIONI

DELL’OAIS

(cfr art. 3 e 4 DPCM 3/12/2013)


LE ENTITA’ FUNZIONALI DI UN OAIS


SCIENTIFICAPRESENZA DI CUSTODI FIDATI

2002 Research Libraries Group (RLG) e US National

Archives and Records Administration (NARA) viene

istituita una Task force on digital repository cartification

che ha l’obiettivo di stabilire una struttura di attributi e

responsabilità per i depositi digitali (affidabilità,

credibilità loci credibiles)

2007 Trustworthy Repositories Audit & Certification:

Criteria and Checklist (TRAC) documento di sintesi dei

requisiti essenziali di un deposito fidato

2011 CCSDS Audit and Certification of Trustworthy

Digital Repositories

2012 ISO 16363

LO STANDARD ISO 16363

LA STRUTTURA DELLO STANDARD

MAGENTA BOOK - CCSDS 652.0-M-1

Sez. 1 Introduzione

Sez. 2 Overview sui criteri di audit e certificazione

Sez. 3 Infrastruttura organizzativa

Sez. 4 Gestione degli oggetti digitali

Sez. 5 Gestione dei rischi e dell’infrastruttura

Struttura interna

Definizione del requisito

Descrizione del requisito

Esempi di evidenze da portare per la dimostrazione del requisito

Approfondimento

Sezione 3 – Infrastruttura organizzativa

3.1 Governance e agibilità organizzativa

3.1.1 Mandato istituzionale. Il conservatore deve avere una

dichiarazione circa il suo mandato istituzionale relativo alla

conservazione a lungo termine, gestione e accesso

all’informazione digitale.

3.1.2 Piano strategico di conservazione. Modalità generali in cui

intende affrontare la conservazione

3.1.3 Direttive sulla conservazione. Documenti che dichiarano

che cosa il conservatore è adatto a conservare


3.2 Struttura organizzativa e personale

3.2.1 Compiti e personale. Il conservatore deve strutturarsi

secondo ruoli ben precisi e possedere specifiche competenze

mantenute nel tempo


3.3 Accountability procedurale

3.3.1 Comunità di riferimento. Prevedere una chiara definizione

della comunità di riferimento.

3.3.2 Policy per la conservazione. Indicazione di conformità agli

standard, meccanismi di revisione della documentazione.

3.3.3 Storia documentata dei cambiamenti. Modifiche resesi

necessarie in relazione a applicazioni e procedure

3.3.4 Trasparenza e rendicontazione. Sulle attività rilevanti per la

conservazione

3.3.5 Controllo dell’integrità. Identificazione e tracciamento delle

modalità di verifica dell’integrità dei contenuti conservati

3.3.6 Autovalutazione e audit.


3.4 Sostenibilità finanziaria

3.4.1 Pianificazione amministrativa. Garantire la sostenibilità

finanziaria nel tempo.

3.4.2 Procedure finanziarie trasparenti. Rendicontazione e

affidamenti ad organi di controllo amministrativo.

3.4.3 Analisi del rischio finanziario. Pianificazione e analisi degli

investimenti


3.5 Contratti, licenze, disponibilità

3.5.1 Contratti e accordi con terzi. Modalità di gestione dei

contratti verso terzi.

3.5.2 Proprietà intellettuale degli oggetti conservati. Gestione

delle responsabilità anche legate alla privacy.

Sezione 4 – Gestione degli oggetti digitali

4.1 Ingest: acquisizione di contenuti

4.1.1 Identificazione del contenuto informativo. Documenti relativi agli accordi di versamento.

4.1.2 Informazioni associate ai documenti. Seti di metadati utilizzativi.

4.1.3 Riconoscimento e gestione del SIP. Descrizione delle modalità di gestione del SIP

4.1.4 Verifica del submitter. Documentare meccanismi di verifica del submitter

4.1.5 Modalità di verifica della completezza di un SIP. Finalità di evitare errori nell’acquisizione di un SIP.

4.1.6 Verifica dell’oggetto digitale. Livelli di controllo fisico del documento (sequenza di bit).

4.1.7 Capacità di aggiornamento del soggetto produttore. Informazioni di monitoraggio (es. notifiche)

4.1.8 Attività rilevanti per la conservazione. Presenza di documentazione a supporto dei processi di conservazione.


4.2 Ingest: creazione degli AIP

4.2.1 Descrizione del AIP

4.2.2 Costruzione di un AIP a partire da un SIP

4.2.3 Gestione complessiva del SIP

4.2.4 Gestione dell’identificativo persistente

4.2.5 Informazioni di rappresentazione dell’oggetto

4.2.6 Processo per l’acquisizione di metadati di descrizione4.2.7 Comprensione del AIP da parte della comunità di riferimento

4.2.8 Verifica di completezza di un AIP

4.2.9 Verifica dell’integrità di un AIP

4.2.10 Processi di validazione di un AIP


4.3 Pianificazione della conservazione

4.3.1 Strategia di conservazione sul lungo periodo

4.3.2 Meccanismi di monitoraggio dell’ambienti di

conservazione

4.3.3 Pianificazione e revisione delle attività di conservazione

4.3.4 Efficienza delle attività di conservazione nel tempo


4.4 Conservazione degli AIP

4.4.1 Specifiche sulle modalità di conservazione di un AIP

4.4.2 Documentazione relativa ai processi di conservazione


4.5 Gestione delle informazioni

4.5.1 Requisiti per ricercare gli AIP da parte della comunità di

riferimento

4.5.2 Predisposizione di informazioni di gestione dell’AIP

4.5.3 Collegamento biunivoco tra AIP e informazioni descrittive


4.6 Gestione degli accessi

4.6.1 Conformità con le politiche di accesso. Profilazione degli

utenti

4.6.2 Policy e procedure per la distribuzione di PdA e

generazione di PdD. Modalità di creazione di PdD.

Sezione 5 – Gestione dei rischi e

infrastruttura

5.1 Gestione del rischio per l’infrastruttura

5.1.1 Monitoraggio delle tecnologie. Monitoraggio e sistemi di

notifica

5.1.2 Gestione delle copie di sicurezza. Gestione delle copie

autentiche prodotte dal sistema di conservazione.

Sezione 5 – Gestione dei rischi e

infrastruttura5.2 Gestione del rischio per la sicurezza

5.2.1 Analisi sistemica dei fattori di rischio. Analisi in relazione ai sistemi, ai dati, al personale, alle localizzazioni.

5.2.2 Analisi dei controlli di sicurezza. Implementazione di un sistema ISO 27001.

5.2.3 Definizione dei ruoli e responsabilità. Comprovare la corretta gestione in ordine all’aggiornamento dei sistemi.

5.2.4 Disaster recovery e business continuity. Strumenti adeguati per backup e restore e continuità in caso di disastro.

L’ACCREDITAMENTO IN ITALIA

LA NORMATIVA

D.Lgs. 82/2005 Codice dell’Amministrazione Digitale (CAD)

Art.29 Qualificazione ed accreditamento

c.1. I soggetti che intendono svolgere l’attività di conservatore di

documenti informatici presentano all’AgID domanda di accreditamento,

secondo le modalita’ fissate dalle Linee guida.

c.2. l richiedente deve trovarsi nelle condizioni previste dall’articolo 24 del

Regolamento eIDAS, deve avere natura giuridica di società di capitali e

deve disporre dei requisiti di onorabilita’, tecnologici e organizzativi,

nonche’ delle garanzie assicurative e di eventuali certificazioni, adeguate

rispetto al volume dell’attivita’ svolta e alla responsabilita’ assunta nei

confronti dei propri utenti e dei terzi. I predetti requisiti sono individuati,

nel rispetto della disciplina europea, con decreto del Presidente del

Consiglio dei ministri, sentita l’AgID

LA NORMATIVA

D.P.C.M. 03/12/2013 Regole tecniche in materia di sistema di

conservazione.

Art. 13 Accreditamento

c.1. L’Agenzia per l’Italia digitale definisce, con propri provvedimenti, le

modalità per l’accreditamento e la vigilanza sui soggetti di cui all’art. 44-bis

(abrogato) del Codice i quali adottano le presenti regole tecniche di cui al

presente decreto per la gestione e la documentazione del sistema di

conservazione, nonché per l’espletamento del processo di conservazione.

LA NORMATIVA AgID – Circolare 65 del 10/04/2014 (G.U. 16/04/2014) - Modalità per

l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all'articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.

1. Affidabilità organizzativa

2. Utilizzo di personale dotato di conoscenze specifiche

3. Applicazione di procedure e metodi adeguati

4. Utilizzare sistemi affidabili

5. Adottare idonee misure di protezione

6. Forma giuridica di capitali (cap. soc € 200.000)

7. Requisiti di onorabilità

8. Polizza assicurativa

9. Manuale della conservazione – Piano della sicurezza informatica

10. Certificazione ISO 27001

Lista di Requisiti di qualità e sicurezza

LA NORMATIVA Regolamento UE eIDAS 910/2014 del 23 luglio 2014 in materia di

identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE

Art. 21. Avviamento di un servizio fiduciario qualificato

Qualora i prestatori di servizi fiduciari, privi di qualifica, intendano avviare la prestazione di servizi fiduciari qualificati, trasmettono all’organismo di vigilanza una notifica della loro intenzione insieme a una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità.

Art. 24. Requisiti per i prestatori di servizi fiduciari qualificati

1. Informa l’organismo di vigilanza

2. Impiega personale dotato di competenze che vengono mantenute

3. Risorse finanziarie adeguate

4. Utilizza sistemi affidabili

5. Adotta misure adeguate contro i furti di dati

6. …

IL PROCESSO DI ACCREDITAMENTO

AgID ACCREDIA

Circolare 36/2016 e Circolare 5/2017 - Schema di accreditamento degli

Organismi di Certificazione, per il processo di certificazione dei Conservatori

a Norma, secondo le disposizioni dell'Agenzia per l'Italia

AgID

Modalità di esecuzione delle verifiche sui soggetti qualificati o accreditati

(Maggio 2017)

Lista di riscontro per la visita ispettiva AgID e la certificazione di conformità

dei conservatori accreditati (14 aprile 2017)

Lista di 73 requisiti per un totale di 197 punti relativi a organizzazione,

processi e infrastruttura


Prestatore di servizi

AgID

Ente Certificatore

ACCREDIA

4) Certificazione

di conformità

2) Accredia (Ente nazionale

di accreditamento)

ha accreditato

gli enti certificatori

1) Lista

di riscontro

5) Domanda +

Certificazione di

conformità

ACCREDITATO

3) Richiesta

di certificazione


AgID

FASE iniziale domanda di accreditamento

Successivamente Mantenimento dell’accreditamento

Certificazione (biennale)

Sorveglianza AgID

IL RUOLO DEL CONSERVATORE


D.P.C.M. 03/12/2013 Regole tecniche in materia di sistema di

conservazione.

Art. 5 Sistema di conservazione

1. In attuazione di quanto previsto dall’art. 44, comma 1, del Codice, il sistema

di conservazione assicura, dalla presa in carico dal produttore di cui all’art. 6

fino all’eventuale scarto, la conservazione, tramite l’adozione di regole,

procedure e tecnologie, dei seguenti oggetti in esso conservati, garantendone

le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità.

a) documenti informatici….

b) fascicoli informatici….

CUSTODE FIDATO


Sistemi di

produzione e

gestione

Sistemi di

conservazione

• Alte prestazioni in tema di

performance

• Forte prevalenza di

gestione di dati

• Forte dipendenza

dall’applicativo in uso

• Portare nel tempo il

documento

• Garantire le caratteristiche

di autenticità del

documento

• Indipendenza dai sistemi di

produzione e gestione


QUINDI I CONSERVATORI SONO TUTTI UGUALI?

Elementi discrezionali/distintivi

SET DI METADATI UTILIZZATO – Può variare da conservatore a

conservatore e spesso è peculiare del contesto nel quale viene applicato Studio di set di metadati il più possibile estensivo su tutti i contesti nel quale viene utilizzato

MODALITA’ DI COMPOSIZIONE DEL PDA – Autoconsistenza del PdA in

relazione alla tecnologia stessa (anche del sistema di conservazione)

FORMATI GESTITI E TIPI DI DOCUMENTI GESTITI – Quali formati e

quali documenti l’ente ha necessità di conservare

EXIT STRATEGY – Qual è la strategia di uscita dal servizio di

conservazione

RICOMINCIAMO DA CAPO

D.P.C.M. 3/12/2013

Art. 5 …… dalla presa in carico dal

produttore ….garantendone le

caratteristiche di autenticità, integrità,

affidabilità, leggibilità, reperibilità.

LE INTERAZIONI TRA

PRODUTTORE E

CONSERVATORE

PRODUTTORE/CONSERVATORE

PAIMAS (Producer-Archive Interface Methodology Abstract Standard)

Elaborato dal CCSDS (Consultative Committee for Space Data System)

CCSDS 651.0-M-1 MAGENTA BOOK

LO SCOPO

definire e dare una struttura alle relazioni tra il Produttore e il Conservatore.

definire una metodologia, dall’istante del primo contatto tra Produttore e

Archivio fino alla sottomissione delle risorse digitali che saranno ricevute e

validate dall’Archivio.

LE RACCOMANDAZIONI PAIMAS

LA STRUTTURA

Fase preliminare

Fase di definizione formale

Fase di trasferimento

Fase di validazione

LA FASE PRELIMINARE

Fase preliminare definizione dei Submission Agreement – Accordi

di versamento

identificare l’informazione primaria che l’archivio deve conservare

stabilire una definizione preliminare dei differenti Data Objects che

saranno trasmessi dal Produttore al Conservatore

analizzare gli aspetti di fattibilità, sia dal punto di vista del Produttore

che del Conservatore.

LA FASE PRELIMINARE

IDENTIFICAZIONE DEGLI OGGETTI DA CONSERVARE

Valutazione delle tipologie di documenti

Valutazione di norme o standard associate alle tipologie (es. Registro giornaliero di protocollo o fatturaPA)

Valutazione dei formati (pdf, txt, DICOM)

Numerosità degli oggetti nel tempo (necessario per organizzare in senso capacitivo il sistema)

Modalità di identificazione e versionamento dei documenti

Modalità di validazione dei documenti (uso di firme e tracciamento di tali firme in conservazione)

Regole di presa in carico dei documenti

Exit Strategy

LA FASE PRELIMINARE

IDENTIFICAZIONE DEGLI APPLICATIVI SUBMITTER

Definizione degli applicativi submitter

Studio delle necessarie integrazioni (metadati, metodi di submission,

notifiche di avvenuta submission)

Mapping dei metadati disponibili da inviare in conservazione

(valutazione della ricchezza, ampiezza e flessibilità del set di metadati

disponibili)

FATTURE ELETTORNICHE

Sistema amministrativo

• FatturaPA

CONSERVATORE

PROTOCOLLO INFORMATICO

Sistemi documentali

• Protocollo

• Delibere

• Determine

• Registro giornaliero

Gestore

Documentale

Canale DAE

(Doc. Amministrativi Elettronici)

CONSERVATORE

ENTE COMPLESSO

Sistemi documentali

• Protocollo

• Delibere

• Determine

• Registro giornaliero

Gestore

Documentale

CONSERVATORE

B


• FatturaPA

CONSERVATORE

A

Sistema Didattico

• Verbali d’esame

• Appelli

• …..

CONSERVATORE

C

AMBITO UNIVERSITARIO

Producers

Amministrativi

• Sistema Amministrativo

• Protocollo

• Delibere

• Determine

• …

Gestore

Documentale

Clienti Fornitori

Sistema di Intermediazione

CONSERVATORE


• FatturaPA

Sistema Didattico

• Verbali d’esame

• Appelli

• …..

IL RUOLO DEL PRODUTTORE

D.P.C.M. 3/12/2013

Art. 5 …… dalla presa in carico dal

produttore ….garantendone le

caratteristiche di autenticità, integrità,

affidabilità, leggibilità, reperibilità.

PRODURRE DOCUMENTI autentici,

integri, affidabili, leggibili, reperibili.

COS’ALTRO SUL TAVOLO

DATI/DOCUMENTI applicativi che parlano e scambiano sempre più dati vs esigenze pratiche e normative che sottolineano ancora la centralità del documento (visione archivistica/visione informatica)

DOCUMENTO AUTENTICO originale; copia informatica di documento originale cartaceo; copia cartacea di documento originale informatico; copia conforme; firma elettronica; firma elettronica avanzata; firma elettronica qualificata; firma digitale; marca temporale; sigillo elettronico; mail; PEC…

RIFLESSIONE SERIA SU COSA CONSERVARE Breve, lunga, temporanea definitiva, tombale

SCARTO DIGITALE possibile/impossibile; riproposizione digitalizzata di un processo tutto analogico; ripensamento ai tempi di conservazione come a sovrastrutture variabili nel tempo

IL VINCOLO ARCHIVISTICO enorme attualità di un concetto prettamente archivistico (quali relazioni tra documenti)

IL RUOLO DEL PRODUTTORE

QUALI REQUISITI

PERSONALE FORMATO sviluppo di competenze adeguate ad una

gestione documentale integrata (quanto tempo

ancora ibridi?)

CABINA DI REGIA MULTIDISCIPLINARE Diverse professionalità che

abbiano un medesimo punto di riferimento

PROGETTO ARCHIVIO DIGITALE Percorso complesso che ha bisogno di

una visione di lungo periodo ed un progetto

organico anche se realizzato a piccoli passi

VISIONE INFORMATICA INTEGRATA integrazione tra sistemi

GRAZIE PER L’ATTENZIONE

[email protected]

LA NORMA ISO 16363 E I REQUISITI - procedamus.it · La conservazione dell’informazione in formato...

Documents

Transcript of LA NORMA ISO 16363 E I REQUISITI - procedamus.it · La conservazione dell’informazione in formato...